Manfred Tremmel schrieb:
Am Freitag, 13. Mai 2011 schrieb Lentes, Bernd:
Hallo,
wir möchten demnächst eine Webapplikation auf einem Tomcat deployen. U.a. soll interessierten Wissenschaftlern hier die Möglichkeit gegeben werden, zu einem bestimmten wissenschaftl. Projekt selbst Daten über eine Weboberfläche in eine Datenbank einzugeben. Bei mir klingeln da die Alarmglocken wg. möglicher SQL-Injection. GreenSQL scheint da ein hilfreicher Schutz zu sein. Hat jemand Erfahrungen damit ? Der Tomcat (6) läuft auf einem SLES 11 SP1, die GreenSQL wahrscheinlich auch.
Ich kenne die Webanwendung nicht, aber eine in Java geschrieben Webanwendung, die die Datenbank über PreparedStatements anspricht ist vor SQL-Injection geschützt und ein Security-Proxy dazwischen unnötig. Um das zu beurteilen müsste man aber die Anwendung kennen.
Ich weiß nicht, ob die Anwendung PreparedStatements benutzt. Muss ich mit dem Entwickler abklären. Auf jeden Fall gibt es in den zugehörigen Webformularen Felder, in die beliebiger Text eingegeben werden kann. Bernd Helmholtz Zentrum München Deutsches Forschungszentrum für Gesundheit und Umwelt (GmbH) Ingolstädter Landstr. 1 85764 Neuherberg www.helmholtz-muenchen.de Aufsichtsratsvorsitzende: MinDir´in Bärbel Brumme-Bothe Geschäftsführer: Prof. Dr. Günther Wess und Dr. Nikolaus Blum Registergericht: Amtsgericht München HRB 6466 USt-IdNr: DE 129521671 -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org